【WebLogic】Oracle发布2024年第四季度中间件安全公告

Oracle于美国时间2024年10月15日发布了 WebLogic 12c（12.2.1.4.0）和14c（14.1.1.0.0）两个大版本2024年第4季度的安全公告，涉及漏洞ID共计 6 个，包含2个高危漏洞 2 个，4个中危漏洞，其中有 4 个漏洞涉及到核心组件（Core）。

此外，Oracle JDK1.8 的小版本号已经升级到了431（1.8.0_431），JDK11的版本来到了11.0.25，OPatch的最新版本号已经更新为：13.9.4.2.17（p28186730_1394217_Generic）。

WebLogic 12.2.1.4.0（适配JDK1.8.0_211+）
WebLogic 14.1.1.0.0（适配JDK1.8.0_251+、11.0.6+）

截至目前，Oracle官方扔提供补丁技术支持的WebLogic中间件大版本还有2个，分别为12c（12.2.1.4.0）、14c（14.1.1.0.0），该两个版本的补丁技术支持日期分别到2025年7月、2028年1月。

附：

I）补丁集信息

|--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| Wlserver 12.2.1.4.0 PatchList | Wlserver 14.1.1.0.0 PatchList |
| 37103277;FMW Thirdparty Bundle Patch 12.2.1.4.240925 37096063;OSS 19C BUNDLE PATCH 12.2.1.4.241001 37087476;WLS PATCH SET UPDATE 12.2.1.4.240922 37056593;One-off 1221423;Coherence Cumulative Patch 12.2.1.4.23 36926636;JDBC19.24 BUNDLE PATCH 12.2.1.4.240814 36851321;RDA release 24.4-20241015 for OFM 12.2.1.4 SPB 36789759;FMW PLATFORM BUNDLE PATCH 12.2.1.4.240812 35965629;ADR FOR WEBLOGIC SERVER 12.2.1.4.0 CPU JAN 2024 | 37140343;One-off 37087534;WLS PATCH SET UPDATE 14.1.1.0.240922 37049917;Coherence Cumulative Patch 14.1.1.0.19 37024687;JDBC19.24 BUNDLE PATCH 14.1.1.0.240904 36851307;RDA release 24.4-20241015 for OFM 14.1.1 SPB 36723262;One-off 35965633;ADR FOR WEBLOGIC SERVER 14.1.1.0 CPU JAN 2024 |

II）WebLogic中间件漏洞公告（2024年10月16日）

|--------------------|------------------------|--------------------------------------|----------|----------------|----------|----------|-----------|----------|---------|-----------------------|
| CVE-ID | 产品 | 组件 | 协议 | 远程利用无需授权？ | 基础分值 | 攻击媒介 | 攻击复杂度 | 用户交互 | 保密性 | 受影响版本 |
| CVE-2024-21216 | Oracle WebLogic Server | Core | T3, IIOP | Yes | 9.8 | Network | Low | None | High | 12.2.1.4.0 14.1.1.0.0 |
| CVE-2024-6345 | Oracle WebLogic Server | Centralized Thirdparty Jars (Jython) | HTTP | Yes | 8.8 | Network | Low | 需要 | High | 14.1.1.0.0 |
| CVE-2024-21274 | Oracle WebLogic Server | Console | HTTP | Yes | 7.5 | Network | Low | None | None | 12.2.1.4.0 14.1.1.0.0 |
| CVE-2024-21215 | Oracle WebLogic Server | Core | HTTP | Yes | 7.5 | Network | Low | None | None | 12.2.1.4.0 14.1.1.0.0 |
| CVE-2024-21234 | Oracle WebLogic Server | Core | T3, IIOP | Yes | 7.5 | Network | Low | None | High | 12.2.1.4.0 14.1.1.0.0 |
| CVE-2024-21260 | Oracle WebLogic Server | Core | T3, IIOP | Yes | 7.5 | Network | Low | None | None | 12.2.1.4.0 14.1.1.0.0 |